W mojej praktyce zawodowej spotykam się z częstym pytaniem: czy zbieranie danych osobowych przez formularze kontaktowe jest zgodne z RODO? Odpowiedź, jak to często bywa w prawie ochrony danych osobowych, brzmi: to zależy. Istotne znaczenie ma sposób, w jaki formularz został zaprojektowany, jakie dane są w nim zbierane, a także jak wygląda realizacja obowiązków informacyjnych wobec użytkowników. Na co należy zwrócić szczególną uwagę, aby formularz kontaktowy nie naruszał przepisów RODO?
Jakie dane osobowe są zbierane przez formularze kontaktowe?
Formularze kontaktowe, obecne niemal na każdej stronie internetowej, często stają się źródłem niezgodnego z RODO przetwarzania danych.
Najczęściej za pośrednictwem formularza kontaktowego zbierane są takie dane, jak: imię, nazwisko, adres e-mail, numer telefonu, treść zapytania. Wszystkie te informacje – o ile pozwalają na identyfikację osoby fizycznej – są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO.
Często jednak dochodzi do sytuacji, w której użytkownik – świadomie lub nie – podaje w treści wiadomości dane bardziej wrażliwe, jak np. informacje o stanie zdrowia, przekonaniach religijnych czy sytuacji rodzinnej. Wówczas może dojść do przetwarzania tzw. szczególnych kategorii danych osobowych.
Czy formularz kontaktowy może prowadzić do przetwarzania danych wrażliwych?
Zgodnie z art. 9 RODO, formularz kontaktowy może nieumyślnie doprowadzić do przetwarzania danych wrażliwych np. informacji o zdrowiu lub przekonaniach użytkownika. Nawet jeśli administrator nie planował zbierania takich danych, a użytkownik zawrze je w treści wiadomości, trzeba je przetwarzać zgodnie z przepisami o ochronie danych osobowych, na podstawie wyraźnej zgody.
Przykład? Formularz kontaktowy kancelarii prawnej może otrzymać wiadomość od użytkownika opisującego sytuację rodzinną lub stan zdrowia. Wówczas nie wystarczy zwykła zgoda – konieczna jest wyraźna zgoda na przetwarzanie danych wrażliwych, udzielona w sposób jednoznaczny i świadomy.
Podstawa prawna przetwarzania danych z formularzy kontaktowych
RODO wymaga, by każde przetwarzanie danych miało określoną podstawę prawną. W przypadku formularzy kontaktowych najczęściej stosowaną podstawą jest:
- zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO),
- działanie na żądanie osoby przed zawarciem umowy (art. 6 ust. 1 lit. b RODO),
- prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Wybór odpowiedniej podstawy musi być poprzedzony analizą celu i kontekstu przetwarzania. Jeśli użytkownik kontaktuje się w celu złożenia zapytania ofertowego, można rozważać podstawę związaną z działaniem przed zawarciem umowy. Natomiast w przypadku ogólnego zapytania – zgoda będzie bezpieczniejszym rozwiązaniem.
Zgoda użytkownika – kiedy jest wymagana?
Zgoda jest wymagana przede wszystkim wtedy, gdy dane są zbierane wyłącznie w celu kontaktu, a użytkownik nie ma obowiązku ich podania. Zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Musi też być możliwa do wycofania w dowolnym momencie.
W praktyce oznacza to, że formularz kontaktowy powinien zawierać odpowiednio sformułowany checkbox z oświadczeniem o zgodzie na przetwarzanie danych, a użytkownik nie powinien mieć możliwości jego domyślnego zaznaczenia (brak predefiniowanego „ptaszka”).
Jakie obowiązki informacyjne nakłada RODO na administratora danych?
Jednym z podstawowych obowiązków administratora danych jest zapewnienie tzw. przejrzystości przetwarzania. Oznacza to konieczność przekazania użytkownikowi pełnej informacji o tym, kto, w jakim celu i na jakiej podstawie przetwarza dane osobowe pozyskiwane przez formularz kontaktowy.
Co musi zawierać klauzula informacyjna przy formularzu?
RODO nie narzuca konkretnej formy klauzuli informacyjnej, ale wskazuje, że musi ona zawierać co najmniej:
- dane administratora i jego dane kontaktowe,
- cele przetwarzania danych i podstawę prawną,
- informacje o odbiorcach danych lub kategoriach odbiorców,
- okres przechowywania danych lub kryteria jego ustalania,
- informacje o prawach osoby, której dane dotyczą (w tym prawo do cofnięcia zgody, prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia skargi do PUODO),
- informację o dobrowolności lub obowiązkowości podania danych,
- informację o zautomatyzowanym podejmowaniu decyzji, jeśli ma miejsce.
Klauzula informacyjna powinna być łatwo dostępna, najlepiej bezpośrednio pod formularzem kontaktowym lub w formie hiperłącza „RODO formularz” prowadzącego do osobnej zakładki.
Jak zabezpieczyć dane zbierane przez formularze przed naruszeniem?
Zbieranie danych przez formularz kontaktowy wiąże się z obowiązkiem ich zabezpieczenia przed nieuprawnionym dostępem, utratą czy ujawnieniem. Administrator musi wdrożyć środki techniczne i organizacyjne zgodne z art. 32 RODO.
W praktyce oznacza to zarówno zabezpieczenia systemowe (hasła, dostępność danych tylko dla uprawnionych), jak i informatyczne (szyfrowanie, backupy, protokoły transmisji danych).
Czy certyfikat SSL wystarczy?
SSL to podstawa, ale nie panaceum. Certyfikat SSL zapewnia szyfrowanie transmisji danych pomiędzy przeglądarką użytkownika a serwerem, ale nie chroni przed wszystkim. Niezbędne są także inne środki: kontrola dostępu do danych, zabezpieczenie formularzy przed botami (CAPTCHA), stosowanie zasady minimalizacji danych i szyfrowanie danych w bazach danych.
Przechowywanie danych – kto ma do nich dostęp i na jak długo?
Czas przechowywania danych powinien być proporcjonalny do celu, w jakim zostały zebrane. Dla formularzy kontaktowych przyjmuje się najczęściej okres od 3 do 12 miesięcy, chyba że dane te są następnie przetwarzane w ramach trwającej relacji handlowej.
Do danych powinny mieć dostęp wyłącznie osoby, które są do tego upoważnione – najczęściej pracownicy działu obsługi klienta, marketingu lub IT. Konieczne jest prowadzenie ewidencji osób upoważnionych i szkolenie ich z zasad RODO.
Jakie są konsekwencje nielegalnego przetwarzania danych z formularzy?
Nieprawidłowe wdrożenie zasad RODO w zakresie formularzy kontaktowych może skutkować poważnymi konsekwencjami. Należą do nich m.in.:
- kary finansowe (do 20 mln euro lub 4% rocznego obrotu – w zależności od tego, która kwota jest wyższa),
- obowiązek zawiadomienia Prezesa UODO i osób, których dane dotyczą, o naruszeniu ochrony danych,
- odpowiedzialność cywilna za szkodę majątkową lub niemajątkową,
- utrata zaufania klientów i reputacji marki.
W mojej ocenie formularz kontaktowy RODO to dziś jeden z najczęściej pomijanych, a jednocześnie najbardziej ryzykownych punktów styku z użytkownikiem. Przedsiębiorcy skupiają się na polityce prywatności, zapominając, że to właśnie formularz RODO może być „najłatwiejszym” sposobem na naruszenie przepisów.
Jeśli masz pytania dotyczące wdrożenia zgodnych z RODO formularzy kontaktowych w Twojej organizacji, zapraszam do kontaktu poprzez formularz znajdujący się poniżej. Zadbaj o to, by Twoje dane i dane Twoich klientów były zawsze chronione zgodnie z prawem.
